3
Ablöse von eBGP auf Firewall durch Mikrotik
Moin Kollegen,
gegeben ist folgendes:
Router A ist meine redundant angelegte Firewall-UTM, die auch die eBGP-Verbindung zu zwei Providern herstellt.
Aus verschiedenen Gründen möchte ich nun die Firewall davor (dahinter) stellen und die eBGP-Verbindung mit Router(n) von Mikrotik herstellen. Dabei ist mir aber völlig unklar, wie ich diesen Router ausfallsicher konfigurieren kann. Der Firewall-UTM würde ich gerne ein Ethernet-Interface als WAN und Standard-Gateway konfigurieren und das mit dem BGP-Router verbinden.
Wenn ein zweiter BGP-Router hinzukommt, haut das aber nicht mehr hin. Besteht die Mööglichkeit eines virtuellen Gateways in der Art, dass beide Router über eine IP erreichbar sind?
Oder realisiert man das mit drei Routern? Router A zu ISP A, Router B zu ISP B und Router C verbindet sich per iBGP mit den beiden anderen Routern. Die Firewall dann an Router C?
Wie würdet ihr das denn machen?
gegeben ist folgendes:
Aus verschiedenen Gründen möchte ich nun die Firewall davor (dahinter) stellen und die eBGP-Verbindung mit Router(n) von Mikrotik herstellen. Dabei ist mir aber völlig unklar, wie ich diesen Router ausfallsicher konfigurieren kann. Der Firewall-UTM würde ich gerne ein Ethernet-Interface als WAN und Standard-Gateway konfigurieren und das mit dem BGP-Router verbinden.
Wenn ein zweiter BGP-Router hinzukommt, haut das aber nicht mehr hin. Besteht die Mööglichkeit eines virtuellen Gateways in der Art, dass beide Router über eine IP erreichbar sind?
Oder realisiert man das mit drei Routern? Router A zu ISP A, Router B zu ISP B und Router C verbindet sich per iBGP mit den beiden anderen Routern. Die Firewall dann an Router C?
Wie würdet ihr das denn machen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7816731301
Url: https://administrator.de/contentid/7816731301
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Das geht dann so nicht, weil Mikrotik (noch) kein Stacking supportet wo 2 Geräte in einem Stack als ein Virtuelles gelten.
Mikrotik supportet zwar MLAGs und auch VRRP was dir LAG Redundanz im Layer 2 beschert und auch L3 Gateway Redundanz für Endgeräte.
Aus Provider Routing Sicht bei dynamischen Routing Prokollen sind deine 2 redundanten Mikrotiks aber immer 2 separate Knoten.
Wenn du keine weiteren IPs bekommst kannst du Provider A auf einen Router legen und B auf den anderen und zwischen den Routern iBGP. So sähe ein einfaches Design aus.
Das virtuelle Gateway auf der lokalen Seite kannst du mit VRRP realisieren, das ist kein Thema. Der VRRP Master Router wird dann anhand seiner BGP Konfig entscheiden wie und zu welchem Provider er es weiterroutet.
Da gibt es dann mehrere Optionen je nachdem wie du beide Provider behandelst. Enweder nur Failover oder Load Balancing zw. beiden.
Du bekommst ja vermutlich keine Full Table sondern propagierst nur deine eigenen AS Netze und bekommst von den Providern ein Default Gateway, richtig?
Mikrotik supportet zwar MLAGs und auch VRRP was dir LAG Redundanz im Layer 2 beschert und auch L3 Gateway Redundanz für Endgeräte.
Aus Provider Routing Sicht bei dynamischen Routing Prokollen sind deine 2 redundanten Mikrotiks aber immer 2 separate Knoten.
Wenn du keine weiteren IPs bekommst kannst du Provider A auf einen Router legen und B auf den anderen und zwischen den Routern iBGP. So sähe ein einfaches Design aus.
Das virtuelle Gateway auf der lokalen Seite kannst du mit VRRP realisieren, das ist kein Thema. Der VRRP Master Router wird dann anhand seiner BGP Konfig entscheiden wie und zu welchem Provider er es weiterroutet.
Da gibt es dann mehrere Optionen je nachdem wie du beide Provider behandelst. Enweder nur Failover oder Load Balancing zw. beiden.
Du bekommst ja vermutlich keine Full Table sondern propagierst nur deine eigenen AS Netze und bekommst von den Providern ein Default Gateway, richtig?
Genau, nur Default Gateway. Deshalb gehe ich auch davon aus, dass die beiden Router hardwaremäßig kaum beansprucht werden und man dass mit zwei MikroTik hEX (RB750Gr3) realisieren könnte (Level 4 reicht ja). Oder wäre dir das zu unprofessionell? Die müssen ja nur BGP zum Provider mit Default Gateway machen und sonst nur routen. Nat, packet filtering, VPN, Proxy macht alles die FW.
Hierist ähnlich beschrieben, wohin ich gerne möchte. An der Firewall werden dann beide Router verlinkt und die beiden Interface an der Firewall gebridget. Weiß nur nicht, ob diese Bridge als Standard-Gateway der FW fungiert.
Hierist ähnlich beschrieben, wohin ich gerne möchte. An der Firewall werden dann beide Router verlinkt und die beiden Interface an der Firewall gebridget. Weiß nur nicht, ob diese Bridge als Standard-Gateway der FW fungiert.
Oder wäre dir das zu unprofessionell?
Nein, das reicht völlig unter den Anforderungen.Weiß nur nicht, ob diese Bridge als Standard-Gateway der FW fungiert.
Eine Bridge ist bekanntlich immer nur Layer 2 und hat mit IPs und Gateway bzw. Layer 3 Forwarding nichts zu tun. Weisst du als Netzwerk Admin aber auch selber. 
Sieh dir die VRRP Doku oben im MT Tutorial an dann weisst du wie.
https://de.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol
Die ToDos für die Firewall Seite (intern) sind denn eigentlich recht einfach:
- In beiden Routern LAN oder VLAN IP Interface konfigurieren
- Beide Router über diese Interfaces mit einem IP Netz verbinden
- VRRP konfigurieren
